Le sigle RPKI signifie « Resource Public Key Infrastructure » (infrastructure à clé publique de ressource). La RPKI prouve qu’il existe un lien entre certains blocs d’adresse IP ou ASN et le détenteur de ces ressources Internet numérotées.
L’American Registry for Internet Numbers (ARIN) est l’organisation chargée d’attribuer un numéro aux ressources Internet et de gérer ces numéros, comme les adresses du protocole Internet (IP) ou le numéro des systèmes autonomes (ASN), dans plusieurs régions, dont le Canada.
Une infrastructure à clé publique de ressource (RPKI) hébergée est une infrastructure pour laquelle l’ARIN héberge l’autorité de certification (AC) et valide la provenance des ressources par une autorisation du routage d’origine (ROA) dans la région dont elle assume la responsabilité.
La RSA est une entente que l’organisation conclut avec l’ARIN pour les blocs d’adresses et les ASN qui lui appartiennent. La RSA a été modifiée plusieurs fois afin de donner plus de pouvoirs au détenteur de la ressource et de permettre l’usage d’une RPKI hébergée.
La LRSA est une entente de services conclue entre l’organisation et l’ARIN pour les blocs d’adresses IP et les ASN qu’elle détient déjà. La version actuelle de la RSA (13.0) et celle de la LRSA (5.0) constituent un seul et unique document. La RSA/LRSA a connu passablement de changements qui confèrent plus de pouvoirs au détenteur de la ressource et facilitent l’usage d’une RPKI hébergée.
Il s’agit d’une adresse IPv4 ou du numéro d’un système autonome (ASN) que le registre Internet (InterNIC ou ses prédécesseurs) a initialement attribué au détenteur de la ressource, avant la création de l’ARIN, le 22 décembre 1997.
Oui. À partir du 1er janvier 2024, les ressources patrimoniales nouvellement inscrites au moyen d’une LRSA seront toutes assujetties au barème ordinaire des frais d’enregistrement. Vous avez donc jusqu’à cette date pour profiter du plafonnement des droits patrimoniaux (en anglais seulement). Les organisations qui ont conclu une LRSA avant le 1er janvier 2024 continueront de verser des droits réduits. En revanche, les ressources inscrites par une LRSA conclue après cette date seront assujetties au barème normal de droits.
Oui. Vous trouverez le modèle de la RSA ici (en anglais seulement). L’organisation ou son service juridique pourront l’examiner. Cette entente a été émise le 12 septembre 2022 (en anglais seulement) et combine la version 13.0 de la RSA à la version 5.0 de la LRSA.
Oui. ARIN publie un rapport quotidien listant les personnes ayant signé un accord RSA. Vous le trouverez ici.
Oui. La RPKI est un service facultatif réservé aux clients de l’ARIN dont les ressources Internet numérotées sont couvertes par une RSA/LRSA.
Au moment de conclure la RSA, signalez à l’ARIN que vous souhaiteriez participer à la RPKI. Contactez le service d’aide à l’enregistrement de l’ARIN en composant le 1-703-227-0660 ou soumettez un ticket « Ask ARIN » (demandez à l’ARIN) sur votre compte en ligne (en anglais seulement) pour amorcer la création d’une RSA/LRSA.
L’autorisation du routage d’origine ou ROA (pour Route Origin Authorization) est un élément essentiel de la RPKI. Grâce à elle, le propriétaire légitime de la ressource IP atteste le système autonome (SA) du réseau d’où émanent les préfixes de l’adresse IP. On ne peut émettre de ROA que pour les ressources Internet numérotées qui apparaissent sur le certificat de ressource.
La ROV est un mécanisme de sécurité permettant de vérifier l’authenticité et l’exactitude des annonces du protocole BGP. La ROV repose sur les données que renferme la RPKI.
Ce certificat de la RPKI identifie les ressources IP pour lesquelles on peut créer une ROA.
Aucune politique de l’ARIN n’exige l’usage de la RPKI. La RPKI est un service facultatif. Cependant, de plus en plus de fournisseurs de services réclament une autorisation du routage d’origine (ROA) avant de conclure une entente avec les détenteurs de ressources (p. ex., TELCO Systems, BYOIP).
Le certificat de ressource de la RPKI délivré par l’ARIN a une durée de deux ans. Le certificat se renouvelle automatiquement au bout d’un an pour une nouvelle période de deux ans.
Les ROA de la RPKI ont une durée de 90 jours. Ils se renouvellent automatiquement au bout de 80 jours pour une nouvelle période de 90 jours.
Il y a tant de plateformes de routage dont on pourrait se servir que nous vous recommandons de lire la documentation du fournisseur pour l’équipement qui a été installé sur le réseau. Vous devriez y trouver des instructions portant spécifiquement sur la RPKI.
Non. Le Whois de l’ARIN n’indiquera pas si des déclarations accompagnent les ressources IP inscrites à la RPKI. Outre le validateur de la RPKI, on trouvera sur Internet des outils gratuits d’autres sources qui permettront d’établir la validité des déclarations de routage ou de voir s’il existe une ROA pour le préfixe en question.
Il y a tant de plateformes de routage dont on pourrait se servir que nous vous recommandons de lire la documentation du fournisseur pour l’équipement qui a été installé sur le réseau. Vous devriez y trouver des instructions portant spécifiquement sur la RPKI.
Seuls les exploitants de réseau qui valident ou ont l’intention de valider l’origine du routage (ROV) doivent configurer leurs routeurs en fonction de la RPKI. Habituellement, ces exploitants assurent le transit du trafic vers la clientèle en aval et annoncent le routage au réseau de nombreux autres fournisseurs intermédiaires. Si votre réseau annonce le routage au nom d’autres organisations, vous n’aurez pas besoin de configurer vos routeurs en fonction de la RPKI.
Si l’organisation n’a pas d’ASN public, c’est que le fournisseur en amont (le partenaire du RNRE, par exemple) annonce le routage. L’organisation pourra donc s’inscrire aux services de RPKI hébergée et créer des ROA pour ses ressources IP en utilisant l’ASN du fournisseur comme numéro d’origine du système autonome.
La procédure pour conclure une LRSA figure à l’adresse https://www.arin.net/resources/guide/legacy/ (en anglais seulement). Vous devrez d’abord vous assurer que le bloc d’adresses IP vous appartient.
Si C’EST LE CAS, vous devrez confirmer qu’il y a attribution directe sur le site Web de l’ARIN.
Si CE N’EST PAS LE CAS, contactez votre fournisseur pour savoir de quelle manière il procède avec la RPKI.
REMARQUE : Si l’ASN ne vous appartient pas, communiquez avec votre partenaire du RNRE afin de trouver une solution.
Par « directement attribué », on entend des ressources IP que l’ARIN a attribué spécifiquement à l’organisation. « Réattribué » signifie que les ressources IP viennent d’un fournisseur de services Internet (FSI).
Pour savoir si vos ressources IP vous ont été directement attribuées, ouvrez une séance sur votre compte en ligne de l’ARIN.
Les réseaux non couverts par une entente seront surlignés en jaune.
OU
Deux raisons motivent la conclusion d’une RSA dans les plus brefs délais :
Pour toutes les questions à ce sujet, écrivez à : https://www.arin.net/resources/guide/account/. Vous devez vous assurer que l’enregistrement est valide.
OU
Confirmez que vous êtes en mesure de gérer la RPKI. Cela fait, déterminez comment configurer la RPKI hébergée en visitant le lien https://www.arin.net/resources/manage/rpki/hosted/ (en anglais seulement).
Vous trouverez des informations complémentaires et de la documentation ici : https://www.arin.net/reference/training/webinars/ (en anglais seulement).
Veuillez noter que ceci pourrait affecter négativement le réseau de production. Soyez prudent. Si vous n’êtes pas sûr de la marche à suivre, demandez conseil à votre partenaire du RNRE.
Visitez le site Web de l’ARIN et suivez les étapes indiquées ici :
https://www.arin.net/resources/manage/rpki/roa_request/(en anglais seulement).
Créez une ROA pour chaque route annoncée.
La création d’une ROA prend environ une heure.
Pour confirmer votre statut, vous pouvez utiliser un outil « loupe » public ou celui que propose votre partenaire du RNRE. Les résultats vous indiqueront le statut de la RPKI (valide, invalide ou inconnu) comme sur le tableau ci-dessous.
Le Trust Anchor Locator ou TAL (localisateur de clé publique) est un fichier indiquant à la fois l’emplacement du dépôt d’infrastructures à clé publique de ressource (RPKI) et celui de la clé publique de l’ARIN servant à vérifier de façon cryptographique si c’est bien l’ARIN qui a validé les artefacts contenus dans son dépôt de RPKI. On utilise le TAL avec un validateur de RPKI pour vérifier les certificats et les ROA que renferme le dépôt de RPKI de l’ARIN. Après validation, ces informations peuvent être utilisées pour le routage dans le réseau de l’organisation.
Non. Seul l’ARIN utilise les TAL, pas les organisations.
Le partenaire du RNRE de votre région pourra vous renseigner sur ces sujets.
